OCTAVE 方法
OCTAVE 方法 是什么?
OCTAVE 方法由卡内基梅隆大学 SEI 提出的信息安全风险评估方法,聚焦关键资产层面的组织与运营风险。
OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)是卡内基梅隆大学软件工程研究所(CERT)开发的风险评估方法家族,包括面向大型组织的原版 OCTAVE、面向小型组织的 OCTAVE-S,以及聚焦信息资产的现代简化版 OCTAVE Allegro。OCTAVE 以资产为核心:组织通过自主主导的工作坊识别关键信息资产、威胁场景、关注领域以及保护策略。相较于高度量化的框架,OCTAVE 偏向定性,强调业务上下文、责任归属与组织风险容忍度,在受监管行业中常与 NIST SP 800-30、ISO 27005 配合使用。
● 示例
- 01
医院针对电子病历系统开展 OCTAVE Allegro 工作坊,以制定风险处置计划。
- 02
对一家安全人手有限的小型制造商使用 OCTAVE-S 进行风险评估。
● 常见问题
OCTAVE 方法 是什么?
由卡内基梅隆大学 SEI 提出的信息安全风险评估方法,聚焦关键资产层面的组织与运营风险。 它属于网络安全的 合规与框架 分类。
OCTAVE 方法 是什么意思?
由卡内基梅隆大学 SEI 提出的信息安全风险评估方法,聚焦关键资产层面的组织与运营风险。
OCTAVE 方法 是如何工作的?
OCTAVE(Operationally Critical Threat, Asset, and Vulnerability Evaluation)是卡内基梅隆大学软件工程研究所(CERT)开发的风险评估方法家族,包括面向大型组织的原版 OCTAVE、面向小型组织的 OCTAVE-S,以及聚焦信息资产的现代简化版 OCTAVE Allegro。OCTAVE 以资产为核心:组织通过自主主导的工作坊识别关键信息资产、威胁场景、关注领域以及保护策略。相较于高度量化的框架,OCTAVE 偏向定性,强调业务上下文、责任归属与组织风险容忍度,在受监管行业中常与 NIST SP 800-30、ISO 27005 配合使用。
如何防御 OCTAVE 方法?
针对 OCTAVE 方法 的防御通常结合技术控制与运营实践,详见上方完整定义。
OCTAVE 方法 还有哪些其他名称?
常见的别称包括: OCTAVE, OCTAVE Allegro。
● 相关术语
- compliance№ 936
风险管理
对风险进行识别、分析、评估、处置、监控与沟通的协调过程,以将风险保持在组织既定的容忍度之内。
- appsec№ 1150
威胁建模
一种结构化分析方法,识别系统的资产、威胁、漏洞与缓解措施,从而在设计阶段构建安全,而不是事后弥补。
- compliance№ 801
PASTA 威胁建模
Process for Attack Simulation and Threat Analysis,以风险为中心、七阶段的威胁建模方法,将技术威胁与业务影响对齐。
- defense-ops№ 136
BIA(业务影响分析)
一种结构化分析,用于识别关键业务流程、其依赖关系,以及这些流程中断对运营、财务和声誉造成的影响。